Un Portal Cautivo o Portal Captivo es un sistema que permite capturar el trfico http (web) de

nuestros clientes y redireccionarlo a un Portal para fines de autenticacin. Una vez el clientes es
autenticado, este puede acceder a todos los servicios de internet con "normalidad".
La configuracin estandar de MikroTik Hotspot es muy fcil de configurar, pero hay que hacer ciertas
modificaciones para evitar tener problemas en nuestra red si es que utilizamos AP's o Routers modo
cliente. Tengan en cuenta que un hotspot est pensado para ser utilizado en lugares relativamente
"pequeos", y que adems sus clientes NO se conectarn a travs de AP's o Routers modo cliente...
osea imagnense un Starbucks donde todas las personas que se conecten ah, lo harn directamente
con laptops, iPod, PDA, smartphones, etc.
Muchos usan MikroTik Hotspot en redes wireless extensas como nico sistema de seguridad, dejando
la seal abierta (sin encriptacin), teniendo la creencia que este sistema es inviolable, lo es bastante
falso. Sin contar que estamos dejando la puerta abierta para que cualquier persona malintencionada
haga un gran alboroto en nuestra red.
Para hacer esta gua, estoy tomando en cuenta que ya tenemos el servidor configurado y
funcionando, as que sugiero leer las dems guas bsicas si se presentan problemas o dudas que no
explico en esta gua. Quiz parexca algo complicado, pero con slo seguir las imgenes sera
suficiente, ya si se quiere profundizar o si se tiene duda de algo, tocara leer el contenido.
Parte 1: Configurando Hotspot con el asistente de configuracin.
Para empezar vamos a IP -> Hotspot -> pestaa Servers -> botn Hotspot Setup, para iniciar
con el asistente de configuracin de Hotspot Server.

Al igual que la configuracin del servidor DHCP de MikroTik, nos ayudaremos del asistente de
configuracin automtica para as configurar "correctamente" nuestro Hotspot, inclusive ambos son
muy parecidos.

HotSpot Interface, debemos especificar la interfaz donde se configurar el Hotspot server,

obviamente elegiremos la interfaz de red LAN o tarjeta de red de los clientes, que en este caso
esether2.

Local Address of Network, aparecer automticamente la puerta de enlace de los clientes, que en
este caso es 192.168.10.1; claro, est tomando los datos del IP de ether2 que especificamos en el
paso anterior.
Masquerade Network, lo desmarcamos ya que tenemos el servidor funcionando, por lo tanto, ya
contamos con el enmascarado. Si activamos este check crear otro enmascarado, pero en este caso
ser por rango de red.

Address Pool of Network, aparecer un rango de IP's que sern asignados a los clientes para que
as obtengan un IP automticamente. En este caso apareci un rango ya definido, este rango lo tom
de una configuracin previa ya que tena configurado un servidor DHCP. Si no tuvieramos un
servidor DHCP funcionando, este paso activara uno obligatoriamente. Ya ms adelante podremos
deshabilitarlo.

Select Certificate, a momento slo vamos a elegir none, ya que no contamos con un certificado
SSL. Estos certificados son utilizados para validar una pgina web (como nuestro portal cautivo)
cuando se utiliza el protocolo
https y as encriptar las conexiones entre el cliente y servidor, muy utilizado en las pginas de los
bancos ya que as ofrecen seguridad respecto a las claves y los movimientos.

IP Address of SMTP Server, lo dejamos tal como est: 0.0.0.0 ya que no contamos un un servidor
SMTP.

DNS Servers, si ya tuvieramos configurado el DNS Cache estos valores aparecern

automticamente, sino, pues lo tendremos que agregar manualmente.

DNS Name, aqu colocaremos un DNS para nuestra red de hotspot; para tenermo ms claro,
cuando hotspot ya est funcioando y queramos abrir una pgina, este nos redireccionar al portal
cautivo para que nos autentiquemos con nuestro usuario y clave, ese portal tendr
direccin http://login.hot.net/ ya que ese es el DNS que escribimos; en todo caso, si este valor se
deja en blanco, hotspot usar directamente la puerta de enlace de los clientes, o sea, el
http://192.168.10.1/

Name of Local Hotspot User, por defecto, el nombre de usuario administrador para el logueo en el
hotspot es admin, aunque si lo quieren cambiar, no hay problema, pero recurdenlo! ya que con ese
nombre se autenticarn al hotspot por primera vez.
Password for the User, el password de logueo, en este caso el password ser test, lo pueden
cambiar por el gusten, pero al igual que la opcin anterior, es necesario recordarlo.
Una vez hecho esto saldr un mensaje que nuestro hotspot fue configurado satisfactoriamente;
luego, si nuestro WinBox estaba conectado al servidor MikroTik por IP, seguramente nos
desconectaremos inmediatemente. Si estabamos conectados por MAC, seguiremos conectados. En
todo caso, nuestro servidor hotspot YA est configurado, y si intentramos abrir una nueva pgina,
este nos mostrar el portal cautivo de MikroTik.

Una vez que veamos el portal cautivo, tendremos que autenticarnos con el user y password que
configuramos previamente, en mi gua el login es admin y el password es test. Una vez
autenticados, hotspot nos dar un mensaje de bienvenida y tendremos internet normalmente (sin
esta autenticacin no hay absolutamente ningn servicio disponible que dependa de internet, o sea,
no juegos, no msn, no skype, etc.)
Parte 2: Modificar Hotspot para evitar algunos problemas.

Hasta aqu ya lo tenemos configurado, pero tenemos que modificarlo para evitar tener problemas. Si
vamos una vez ms a IP -> Hotspot -> pestaa Servers, veremos que apareci un nuevo
elemento: hotspot1, que es nuestro servidor hotspot recin configurado.

Nota: Tengan en cuenta que hasta el momento, ninguno de nuestros clientes tiene internet ya que
estos NO tienen un usuario y password para que se autentiquen en el portal que les apareci. Si lo
creen conviente, pueden deshabilitar momentneamente la regla hotspot1 para as no fastidiar a
nuestros clientes... ya cuando lo tengamos todo configurado y listo para funcionar, podemos
habilitarlo denuevo.
Empezaremos la modificacin abriendo la regla hotspot1 y as poder editar sus opciones.

Name, obviamene es el nombre del servidor hotspot que configuramos hace un momento. Si gustan
le cambian de nombre si es que tuvieran otros hotspots para distintas interfaces de red.
Interface, es la interfaz de red a la que configuramos el servidor hotspot, se trata de la interfaz de
los clientes, en este caso es ether2.
Address Pool, si los clientes de nuestro hotspot se conectan a travs de AP's modo cliente
Routers modo cliente, entonces es absolutamente necesario modificar esta valor a none. Si lo
dejamos tal como est por defecto (dhcp_pool1 si tenamos configurado un DHCP), entonces hotspot
entrar en modo captura de IP's y nos podra traer problemas cuando intentemos conectarnos a un
equipo (AP, Router, VoIP, etc) dentro de nuestra red, ya que MikroTik capturar esta conexin y nos
pondr trabas ingresar.
Profile, es el profile de del servidor hotspot, por defecto es hsprof1 que se autoconfigur al
momento de hacer el asistente de configuracin.
Vamos a IP -> Hotspot -> pestaa Server Profiles y abrimos la regla hsprof1
-> pestaa General para dar una revisada al server profile.

Name, nombre del perfl del servidor, en este caso es hsprof1.

Hotspot Address, es la puerta de enlace de nuestros clientes, en este caso, 192.168.10.1, si
llegramos a cambiar este gateway desde IP -> Addresses, tendramos que modificar este cuadro
manualmente para actualizar a la nueva configuracin.
DNS Name, es el nombre de nuestro portal cautivo, en este caso

es login.hot.net (http://login.hot.net), que es el que colocamos al momento de hacer el asistente

de configuracin, lo podemos modificar a nuestro gusto.
HTML Directory, es la carpeta donde se almacenan los archivos del portal cautivo, esta carpeta la
encontramos en Interface.
Parte 3: Elegiendo el tipo de autenticacin.
Hasta este momento, todos nuestros clientes no pueden navegar ya que les apareci un portal
cautivo solicitando un usuario y contrasea, al menos nosotros s podremos autenticarnos ya que al
momento de configurar el hotspot creamos una cuenta de administrador, que en el ejemplo
es login: admin y password: test
Por lo general existen 3 maneras de autenticarse al hotspot, descontando sus pequeas variaciones:
1)Escribiendo usuario y clave, 2)Autenticandose por MAC, 3)Siendo un usuario trial (de prueba)
Vamos a IP -> Hotspot -> pestaa Server Profiles y abrimos la regla hsprof1 -> pestaa Login,
donde veremos todas las opciones de autenticacin.

MAC, activar la autenticacin por MAC, o sea, el cliente no tendr que escribir usuario y clave, ya
que con solo conectarse, hotspot validar su MAC automticamente.
HTTP (CHAP PAP), activa la autenticacin por usuario y contrasea, por defecto es HTTP CHAP.
HTTPS, activa la autenticacin por usuario y cotrasea utilizando el protocolo HTTP Secure.
Trial, activa la autenticacin de prueba, para que los "invitados" puedan probar el servicio, al
comento de activar esta opcin, en el portal cautivo aparecer un link "trial", que servir para

autenticarnos con slo presionar ese link.

Cookie, si est activado, ser el acompaante de toda autenticacin, generar un cookie que se
almacenar tanto en el server y el PC del cliente, y mientras este cookie siga 'vigente' no pedir
autenticacin hasta que venza.
HTTP Cookie Lifetime, si la opcin Cookie est activada, entonces este apartado se desbloquear.
Aqu se puede elegir el tiempo de vida del cookie, por defecto es 3 das. Se pueden ver las cookies
entregadas en IP -> Hotspot -> pestaa Cookies
Trial Uptime Limit, si la opcin Trial est activada, este apartado se desbloquear. Aqu
colocaremos el tiempo mximo que se le quiere dar a los 'invitados' para que prueben el servicio,
por defecto es 30 minutos.
Trial Uptime Reset, si la opcin Trial est activada, este apartado se desbloquear. Aqu
colocaremos cada cuanto tiempo se le renovar el lmite de tiempo para el invitado... esto quiere
decir, si el invitado us ya los 30 minutos de pruena, cada cunto tiempo podr usar una vez ms
otros 30 minutos... por defecto es cada 24 horas o cada da (1d 00:00:00).
Trial User Profile, es el perfl de usuario que se aplicar a los invitados, ms adelante, en esta
misma gua, vereremos sobre los User Profiles...
Parte 4: Creando usuarios para autenticacin.
Crear cuenta para autenticacin por usuario y contrasea.
Vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)

Name, escribiremos el nombre de usuario (login) para autenticarnos en el portal cautivo, en este
ejemplo es usuario.
Password, escribiremos la contrasea para autenticarnos en el portal cautivo, en este ejemplo

es prueba.
Address, algunas personas suelen colocar el IP del cliente bajo la creencia que as estn amarrando
esta IP a la cuenta, cosa es incorrecto, lo que ocasionarn ser crear 2 IP's para el mismo cliente,
uno el de su PC y otro el que hotspot le dar (el que escribamos aqu) No recomendado.
MAC Address, para mayor seguridad, podemos amarrar el MAC del cliente a la cuenta de usuario
que estamos creando, esto quiere decir, que ese usuario y contrasea slo ser vlido si se hace la
autenticacin desde esa MAC. Si se utiliza un AP modo cliente, entonces tendr se tendr que
colocar la MAC de ese AP y no la del cliente. Si no se especifica un MAC, entonces este usuario y
password sern vlidos desde cualquier MAC.
Profile, ser el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que
viene por defecto, estos User Profiles los veremos ms adelante en esta gua.
Una vez hecho esto, podremos autenticarnos en el portal cautivo utilizando el usuario y password
que creamos. As que slo quedara crear ms cuentas y entregar los usuarios y contraseas a
nuestros clientes.
Crear cuenta para autentitcacin por MAC.
Para autenticarnos por MAC, tiene que estar activada dicha opcin en IP -> Hotspot
-> pestaa Server Profiles y abrimos la regla hsprof1 -> pestaa Login
Si ya est activada, vamos a IP -> Hotspot -> Users y abrimos una nueva regla (+)

Name, escribiremos la MAC de nuestro cliente, ni bien el cliente abra su navegador, Hotspot al ver

su MAC lo autenticar automticamente.

Profile, ser el perfil de usuario que asociemos a esta cuenta, ahora estamos usando el perfil que
viene por defecto, estos User Profiles los veremos ms adelante en esta gua.
Pueden utilizar el botn Comment para asignar un comentario a la regla, para poder reconocerla
ms adelante.
Parte 5: Entendiendo los User Profiles (Opcional).
Con los User Profile, podemos ciertas caractersticas a las cuentas de los clientes, como por ejemplo,
limitar su velocidad (sin utilizar Simple Queue), enviar mensajes a los clientes, controlar el tiempo
para que al cliente le vuelva a aparecer el portal cautivo, etc.

Name, nombre del perfl de usuario, lo pueden cambiar a lo que quieran.

Session Timeout, en este cuadro puede configurarse un tiempo mximo en que el cliente podr
tener acceso a internet, luego de ese tiempo, el cliente no podr autenticarse ms, por defecto est
deshabilitado, como en la imagen.

Idle Timeout, es el tiempo mximo de inactividad para que Hotspot deautentique al cliente. Si un
cliente no genera trfico por el tiempo especificado, Hotspot lo desconectar. Por defecto est
en none.
Keepalive Timeout, es el tiempo mximo en que un cliente puede estar desconectado, si se llega a
ese tiempo, entonces hotspot deautenticar al cliente, por defecto es 00:02:00 (2 minutos) pero si
se prefiere, se puede cambiar este valor, inclusive por das.
Shared Users, es el nmero de usuarios que se pueden autenticar a la vez con una misma cuenta
de usuario. Por seguridad, tendra que ser slo uno.
Rate Limit, es la velocidad a la que se le asignar a un usuario. rx/tx quiere decir upload/download,
si se quiere limitar a 128k de subida y 512k de bajada, entonces se tendra que colocar,128k/512k,
cuando se activa esta opcin, ya no es necesario limitar la velocidad por Simple Queue.
Transparent Proxy, debe quitar este check si se ha configurado MikroTik webproxy siguiendo mis
manuales.
Se pueden crear y configurar tantos User Profiles como se necesiten, y asignarlos a la cuenta de
usuario al que se le quiera aplicar, como en la imagen de abajo.

Tener en cuenta que si se modifica un User Profile o se carga uno nuevo a un User, este no tendr
efecto hasta que el usuario se vuelva a autenticar, para eso hay que quitar al cliente desdeIP ->
Hotspot -> pestaa Active, y si se tiene activadas las Cookies, borrar la cookie desde IP ->
Hotspot -> pestaa Cookies.

Parte 5: Conociendo las otras pestaas (Opcional).

Pestaa Active.

IP -> Hotspot -> pestaa Active, veremos aqu la relacin de cliente que se autenticaron en
hotspot, ya sea escribiendo usuario y clave, autenticndose por MAC, o por trial.

Si quieramos deautenticar a un cliente, slo tendramos que quitarlo de la lista con el botn remover
( - ), ya si se utiliza cookies, primero tendramos que quitarlos de esa lista en IP -> Hotspot ->
pestaa Cookies.
Pestaa Hosts.
IP -> Hotspot -> pestaa Hosts, veremos aqu la relacin de todos las dispositivos que estn
conectadas a Hotspot, ya sea que estn autenticados o no, con o sin internet, e inclusive los
bloqueados.

Veremos al lado izquierdo de cada cliente, una letra o una combinacin de letras, estas quieren decir.
A = Cliente Autenticado.
H = Cliente con IP obtenida por DHCP.
D = Cliente con IP fija o no obtuvo su IP por DHCP (del servidor).
P = Cliente Bypassed, que se le di "tarjeta verde" para no pasar por hotspot, esto lo veremos
en IP -> Hotspot -> pestaa IP Bindings.
B = Bloqueado por User Profile o por su propio User, ya sea porque su Session Time se ha acabado,
porque fue bloqueado desde Advertise.
Tener en cuenta que nicamente slo tendrn internet los clientes que tengan la letra A o la letra P,
ya sea que estn solas, o acompaados de otra letra.
Pestaa IP Bindings.
IP -> Hotspot -> pestaa IP Bindings, aqu podemos configurar que un cliente no necesite
autenticacin alguna, supongamos que tenemos conectado un aparato VoIP y como estos no pueden
escribir usuario y password, sera conveniente utilizar IP Bindings.

MAC Address, aqu colocaremos el MAC del aparato al que le daremos carta verde, ya sea un PC,
un VoIP, un PS3, etc. Este paso puede ser opcional.
Address y To Address, colocaremos 2 veces el mismo IP del cliente al que le dar carta verde.
Type, elegiremos bypassed (hacer bypass al portal del hotspot)
Tener en cuenta que slo colocar el IP ses suficiente para dar carta verde a un cliente, pero si se
especifica el MAC, entonces se estara 'amarrando' el IP al MAC para dar mayor seguridad.
Pestaa Walled Garden y Walled Garden IP List.
IP -> Hotspot -> pestaa Walled Garden, ya sabemos que al tener portal cautivo, todas las
pginas que intentemos visitar sern redireccionadas al portal cautivo, pero con Walled Garden
podemos dar excepciones y asignar pginas permitidas para poder navegar en ellas sin estar
autenticados. Aqu slo nos limitamos a http y https.
IP -> Hotspot -> pestaa Walled Garden IP List, Es lo mismo que lo anterior, salvo que aqu ya
no trabajamos con http https, sino con directamente con IP's.
Pestaa Cookies.
IP -> Hotspot -> pestaa Cookies, si la opcin cookie est activada en Server Profile, entonces
veremos la lista de cookies generadas por todos los clientes autenticados. Si quisieramos
deautenticar a un cliente, tendramos que empezar borrando su cookie y luego sacarlo de IP ->
Hotspot -> pestaa Active.

Si se quiere profundizar an ms sonbre Hotspot, tendran que leer su manual en la wiki

(ingls) http://wiki.mikrotik.com/wiki/Manual:IP/Hotspot

Saludos